「Exchange Server」「Exchange Online」の情報漏えいを防ぐ2つの対策Exchange「Autodiscover」の脆弱性とは【中編】

「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。

2021年11月02日 05時00分 公開
[Alexander CulafiTechTarget]

 セキュリティベンダーGuardicoreは、Microsoftのメールサーバ製品「Exchange Server」およびメールサービス「Exchange Online」の設定自動検出機能「Autodiscover」の脆弱(ぜいじゃく)性を発見した。この脆弱性はAutodiscoverが設定を自動検出する際、検出対象となるURLの生成方法に問題があることに起因する。

「Exchange」を守るには、どう対策すればよいのか

 Autodiscoverの脆弱性は新しい問題ではない。Shape Securityは2017年にAutodiscoverの脆弱性「CVE-2016-9940」「CVE-2017-2414」を発見し、同年のセキュリティイベント「Black Hat Asia 2017」で調査結果を発表した。当時これらの脆弱性は、モバイルデバイスのメールクライアントに影響するという事実しか判明していなかった。

 その後、脅威ははるかに拡大した。メールクライアント以外のアプリケーションもAutodiscoverの脆弱性の影響を受けることが分かったからだ。「われわれはこうした状況に対処しなければならない」と、Guardicoreのセキュリティリサーチ担当エリアバイスプレジデントのアミット・サーパー氏は述べる。

 Guardicoreが公開したレポートは、Autodiscoverの脆弱性による影響を軽減する2つの方法を提示する。

 1つ目はExchange ServerやExchange Onlineユーザー向けのものだ。Guardicoreは以下の事項を推奨する。

  • ファイアウォールでURLに「Autodiscover.」を含む通信をブロックする
  • Exchange ServerやExchange Onlineをセットアップする際に、HTTPの基本認証(ベーシック認証)を無効にする
    • HTTPの基本認証は、HTTPリクエスト(Webサーバへの応答要求)のたびに資格情報(IDとパスワード)を送信する仕組みだ。そのため通信路暗号化を利用していない場合に、資格情報が漏えいするリスクが高まるとMicrosoftは説明する。

 2つ目はソフトウェア開発者向けのものだ。「開発者は、Autodiscoverが誤った手順を踏む“ありがた迷惑”な存在にならないようにしなければならない」とサーパー氏は説明する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news131.jpg

「ダークパターン」の認知は2割にとどまる――クロス・マーケティング調査
調査会社のクロス・マーケティングが実施したダークパターンに関する調査(2024年)の結...

news050.jpg

ウェルビーイング調査 今後最も力を入れたい分野は「身体」、優先度が低いのは?
ASAKO サステナラボは、独自の「60のウェルビーイング指標」により生活者の充足度を数値...

news068.png

10代の7割超がショート動画を「ほぼ毎日見ている」――LINEリサーチ調査
LINEリサーチは全国の男女を対象に、ショート動画に関する調査を実施しました。